보안

[기획/2021 금융IT ⑳] 브레이크없는 디지털금융 확산, 보안위협 대응 이상없나

박기록
“아직 큰 사고 없었지만 잠재적 ‘디지털금융 위협’ 공포 확산"
DDoS‧원격근무‧랜섬웨어‧보이스피싱 등 금융권 대상 공격 급증
클라우드 도입 증가, 제3자 리스크 대응책 마련

[디지털데일리 박기록, 이종현 기자] ‘디지털금융’ 혁신 경쟁이 가열됨에 따라 잠재적 보안 위협도 동시에 커지고 있다. 역설적이게도 금융업종은 다른 산업군에 비해 IT투자, 보안투자를 상대적으로 많이하지만 오히려 보안 공격을 더 많이 받고, 보안위협에 더 자주 노출된다.

글로벌 보안기업 아카마이가 발표한 ‘2021 인터넷 보안 현황 보고서’를 보면, 코로나19 패닉이 절정에 달했던 지난해 전세계 금융업계를 대상으로 한 보안 공격이 41억건 이상이라는 조사 결과를 발표했다.

이중 가장 흔히 발생하는 공격은 ‘무차별 대입 공격(크리덴셜 스터핑)’이다. 공격자가 미리 확보해 놓은 계정정보(크리덴셜, Credential)를 다른 계정에 무작위로 대입(스터핑, Stuffing)하는 공격으로, 총 1930억건의 무차별 대입 공격 중 34억건 이상이 금융업계를 대상으로 발생했다. 이는 2019년 대비 45% 이상 급증한 수치다. 또한 금융업계를 대상으로 한 디도스(DDoS) 공격도 2018년부터 2020년까지 3년간 93%나 늘었다. “이는 공격자들의 목표가 일상 업무에 필요한 서비스 및 앱에 집중돼있다는 의미”라고 보고서는 분석했다.

삼성SDS가 발표한 2021년 사이버보안 7대 트렌드는 ▲비대면 환경을 노린 위협 증가 ▲랜섬웨어 고도화 ▲AI를 활용한 해킹 지능화 ▲산업설비에 대한 위협 본격화 ▲개인정보 등 민감 데이터 보호 중요성 증대 ▲클라우드 대상 공격 증가 ▲의료 분야 집중 공격이다. 이중에서도 특히 기업의 원격근무를 ‘가장 약한 고리’로 꼽았다. 보안이 취약한 가정용 네트워크와 단말기를 통한 정보 해킹 시도가 증가하고 있다고 분석했다.

한편 AI 기술이 이제 보안의 영역에서 새로운 창과 방패로 등장한 것은 기존 보안전략에 있어서 주목할만한 큰 변화다. AI를 통해 대량의 해킹공격 성공률을 높이고, ‘딥페이크’를 이용한 정보왜곡 및 조작 위험성이 더욱 높아졌다고 경고했다. 반면 AI를 통한 멀티미디어 위변조 검출 및 자동탐지∙분석 기술도 동시에 발전하면서 AI를 중심으로한 공격-방어 전선이 확대되고 있는 것이다.

◆2021년, 우리 금융산업이 직면한 보안이슈는?

'가장 안전하다'는 믿음을 전제로 고객은 금융회사에 자산을 맡긴다. 금융업의 본질적인 기능에 가장 부합하는 투자 영역이 바로 보안(정보보호)이다.

그러나 2021년 현재, 금융권이 직면하고 있는 금융보안 과제들은 대응이 만만치 않다. ▲혁신기술∙디지털전환 따른 보안 위협 ▲클라우드 확산에 따른 제3자 리스크의 확대 ▲비대면 업무프로세스 확대와 금융 ‘물리적 망분리’ 규제 완화 ▲‘마이데이터’시대, 안전한 데이터관리 요구 확대 ▲APT등 대규모 사이버위협 해킹 가능성 고조 ▲금융 IT보안 인력의 확대 정도로 요약된다.
올해 금융권에서 가장 큰 관심을 보이고 있는 보안투자는 역시 ‘혁신기술∙디지털전환 따른 보안 강화’이다. 구체적으로, SOAR(Security Orchestration, Automation & Response)와 같은 ‘차세대 지능형 통합보안관제’에 대한 투자가 주요 은행들을 중심으로 본격화되고 있다. 디지털 전환에 따른 금융 서비스 채널의 형태가 매우 다양해지고, 비대면 비중이 커지면서 보안위협의 취약점도 동시에 늘어나고 있다고 판단하기 때문이다.

이제는 사람에 의한 보안 관제는 더 이상 불가능하다. AI기반의 지능형 통합보안관제에 대한 필요성이 시급하게 요구되고 있는데, 이것이 구체화된 것이 SOAR체계다.

◆금융권, SOAR 구축 본의 불붙었다

국내 은행권에서는 농협은행이 그동안 선도적으로 SOAR 도입을 위한 준비작업을 깊이있게 검토해왔다. 농협은행은 영업점 단말 환경 보안을 크게 강화하기위한 ‘차세대 EDR’(엔드포인트 탐지 및 대응) 프로젝트가 올해 완료됨에 따라 후속으로, SOAR사업을 2022년부터 추진할 계획이다. SOAR 도입 비용은 아직 구체화되지 않은 단계지만 농협은행은 농협금융 계열사 전반에 맞는 SOAR에 체계까지 검토한 뒤 구축에 나설 것으로 예상된다.

금융그룹 차원의 통합 금융 플랫폼 경쟁이 전개되면서 KB, 우리, 하나 등 대형 금융그룹을 중심으로 한 SOAR 사업도 구체화되고 있다. 2금융권에서는 새마을금고중앙회가 지난해 금융권 첫 SOAR사업을 발주했다.

하나금융그룹은 올해 2분기부터 SOAR 구축을 위한 솔루션 기능검증에 나섰다. SOAR 구축 사례가 있는 솔루션을 대상으로 관련 업체들과 기술지원 및 유지보수를 제공하는 파트너사와 컨소시엄 형태로 제안을 받았다.

SOAR은 IT보안 기업들이 제시하는 특정 솔루션으로 존재하기는 하지만 금융회사별 상황에 따라 대응 방법이 천차만별이다. 따라서 SI(시스템통합) 비중이 중요하다는 것이 금융권의 인식이다. 따라서 SOAR 사업 규모는 금융회사별로 다소 편차가 날 것이란 예상이다.

또한 SOAR를 구축한다고해도 이를 유지하고 운영하는 보안 거버넌스 체계의 확립이 중요하다. 즉, 특정 보안솔루션의 기능에만 의존하지 말고 자사의 보안 체계를 종합적으로 설계하고 운영하기위한 금융회사 내부의 보안 역량이 먼저 확보돼야만 한다는 주문이다. 이런 점에서 금융회사의 전문 역량을 가진 CISO의 위상 보장과 함께, 자체 IT 보안 인력의 전문화와 육성이 중요한 과제로 부상하고 있다.
<자료> 이글루시큐리티
<자료> 이글루시큐리티

◆클라우드 확산 따른 '제3자 리스크'도 금융 안정성 위협

‘제3자 리스크’는 올해부터 금융권의 새로운 보안이슈로 부상한 항목이다. 이는 기술적인 보안위협이 아니다. 클라우드의 급속한 확대에 따른 금융 IT아웃소싱 사례가 급격하게 늘어나면서 협력 파트너사들에 대한 ‘운영 리스크’ 로 분류된다.

클라우드도 본질적으로는 IT운영을 위탁하는 아웃소싱이다. 결국 외부 IT아웃소싱 업체들이 보안에 허술하거나 전산장애 등 유사시에 대응이 늦으면 IT인프라 운영을 위탁한 금융회사는 타격을 입을 수 밖에 없다. 클라우드 확산 이후에는 좀 더 다른 관점에서 민감하게 바라봐야할 요인들이 많아졌다.

지금까지 금융회사들의 IT아웃소싱를 보안 리스크로 크게 인지하지 않았다. 기존 금융권의 IT아웃소싱 파트너들은 대부분 대기업 계열 IT서비스 회사들로써 큰 자본력과 대규모 데이터센터를 갖춘 대기업 중심으로 구성됐기 때문이다. 금융회사들은 꼼꼼한 SLA 계약을 통해 전산장애시 신속한 대응, 손해발생에 따른 배상 등 탄탄한 안전장치를 마련해왔으며, 실제로도 지난 20여년간 금융권 IT아웃소싱 사례에서 이렇다할 큰 사고는 없었다.

앞으로 퍼블릭 클라우드 체제가 많아질수록 금융회사가 관리해야할 IT아웃소싱 계약자도 동시에 많아질 수 밖에 없다. 은행권의 경우, 복수의 클라우드 사업자에게 위탁하는 ‘멀티(Multi) 클라우드’ 체제가 강화되고 있는데 이는 ‘제3자 리스크’ 증가의 원인이 되고 있다.

2금융권의 중소 금융회사들은 상대적으로 이같은 ‘멀티 클라우드’ 비율이 낮지만 역시 비용문제 때문에 신뢰도가 검증되지 않은 클라우드 업체들과의 단독 계약할 가능성이 높아 제3자 리스크의 가능성은 여전하다.

제3자 리스크의 우려 때문에, 올해 국내 은행권을 중심으로, 복잡해진 클라우드 체계를 종합 관리할 별도의 관리회사를 선정해, 일괄 위탁하는 방안을 서두르고 있다. 전산장애시 빠른 ‘복원력’ (정상업무로의 복귀)을 위해서도 이같은 역할을 해줄 장치가 필요하다. 다만 이 역할을 클라우드 운영 노하우를 가진 기존의 MSP회사들이 할 것인지 아니면 기존 금융권 IT아웃소싱 운영 노하우가 풍부한 국내 대기업 계열의 IT서비스업체들이 맡게될 것인가 관심이다. 이와관련 올해 6월 농협은행은 MSP 전문기업을, 국민은행은 KB금융 그룹 IT계열사를 각각 선정했다.

이같은 ‘제3자 리스크’를 제외한다면 그 외는 것들은 모두 기술적 보안 위협으로 분류된다. 특히 ‘마이데이터’ 시대가 열리면서, 금융 데이터의 안전한 보호와 관리체계에 대한 경각심이 새롭게 강조되고 있은 모습이다.

◆혁신의 걸림돌이지만 동시에 보안의 최후 보루…‘금융 망분리’ 완화 고심

당초 ‘물리적 망분리’제도는 안전한 독립적인 네트워크(전용선) 사용을 물리적으로 강제함으로써 금융회사 전산시스템을 완벽하게 외부 위험으로부터 보호하기위해 출발했다. 국내 금융산업에서 보안 사고를 줄일 수 있는 것은 그나마 물리적 망분리와 같은 초강력 규제가 작동했기때문이라는 평가는 지금도 유효하다.

그러나 시간이 흘러, 클라우드 시대로 넘어오면서 ‘금융 물리적 망분리’ 제도의 한계가 점점 드러나고 있는 모습이다. 그리고 물리적 망분리는 IT 보안의 문제 뿐만 아니라 재택근무, 원격근무 등 금융회사의 업무 프로세스 변화 등 여러 부분에 민감하게 걸쳐져 있는 사안이기도 하다.
특히 퍼블릭 클라우드 환경에서 금융보안이 예민해지는 것은 망분리와 같은 물리적으로 안전한 장치를 강제할 수 없기 때문이다. 클라우드사업자(CSP)에게는 ‘금융 물리적 망분리’ 규제가 더 이상 적용되지 않는다. 금융 당국이 이를 강요할 수 없다. 클라우드 기업은 그 고유의 기술적인 운영 특성상 ‘물리적 망분리’를 할 수 없기 때문이다.

클라우드는 네트워크로 연결된 수많은 서버 및 스토리지 등 IT자원을 공유함으로써 전체적으로 IT비용을 낮추고, 그것을 통해 고객들에게 상대적으로 값싼 IT비용을 청구하는 것이 고유의 사업 모델이다. 이 때문에 몇몇 클라우드 기업들은 이같은 금융권의 우려를 불식시키기 위해, 물리적으로 안전한 ‘금융 전용 클라우드 서비스’를 내놓고 있다. 기존 금융권의 ‘물리적 망분리’ 보다는 덜하지만 이같은 전용서비스가 퍼블릭 클라우드로 전환하려는 금융회사들에게는 안전장치로 인식되고 있다.

다만 금융 클라우드사업자들에게는 이처럼 ‘논리적 망분리’가 허용됐지만 기존 금융회사가 자체적으로 IT인프라를 운영하는데 있어서는 여전히 엄격하게 ‘물리적 망분리’가 적용되고 있다. 그동안 이에 따른 형평성 문제가 제기돼왔다. 특히 여러 계열사를 거느리고 있는 대형 금융 그룹들은 논리적 망분리가 허용될 경우, 기존보다 IT센터의 인력 및 자원의 효율적 운영이 가능할 것으로 기대하고 있다.
다만 원격근무에 따른 고객정보 유출 등 보안 사고의 대한 긴장감은 여전하다. 금융 당국은 아직 시기를 특정하지는 않았지만 금융회사 IT직원들에 대한 ‘물리적 망분리’의 완화도 검토하고 있다. 완화가 된다면 IT직원들도 외부에서 원격으로 금융회사 전산센터에 접속해 IT 개발 및 운영업무가 가능하게 된다. 그러나 이 역시 고강도의 보안수단이 반드시 전제돼야한다는 점에서 당장 큰 폭의 변화를 기대하기는 어려워 보인다.
◆2020~2021 달라진 법∙제도 변화… 금융권, 보안전략에 후폭풍

작년 말부터 금융 분야에 영향을 미치는 다수 법·제도 개선이 이뤄졌다. 전자서명법, 전자문서법, 전자금융감독규정시행세칙, 신용정보법이 대표적이다. 각 법안별로 관련 내용을 살펴본다.

●전자서명법 = 개정 전자서명법은 ‘공인인증제도 폐지’가 골자다. 금융권에서는 본인인증 수단으로 공인인증서(현 공동인증서)를 요구했지만 개정 후 다양한 전자서명 기술을 도입하고 있다. 금융결제원과 22개 은행이 공동으로 준비한 ‘금융인증서비스(이하 금융인증서)’가 대표적이다. 금융인증서는 인증서가 자동으로 클라우드에 저장돼 보안성이 크게 강화됐다. PC나 모바일, USB 등 어디에 인증서를 저장해뒀는지 헤매지 않고 이용 가능하다. 6자리 숫자로 된 간편비밀번호와 패턴, 지문인증 등을 도입함으로써 특수문자를 포함한 10자리 이상 비밀번호를 요구하던 공인인증서 대비해 이용 편의성도 높였다.

●전자금융감독규정시행세칙·전자문서법 = 2021년1월1일부터 시행에 들어간 개정 전자금융감독규정시행세칙으로, 이를 통해 금융권의 일반 직원들 재택근무 체제 도입에도 속도가 붙었다. 금융감독원이 임직원의 원격 접속을 ‘망분리 예외 사유’로 명시해 금융권의 상시 재택근무를 허용했다. 기존 시행세칙에서는 정보기술(IT) 부문 직원에 한해 시스템 장애 등 비상상황시에만 원격접속이 허용됐었으나 세칙 개정을 통해 외주업체를 포함한 일반 임직원도 원격접속을 할 수 있게 됐다. 금융권의 상시 재택근무가 가능해졌다.

●신용정보법·금융 마이데이터 = 금융권의 데이터 전쟁에 몰입하게 된 직접적인 도화선이 된 법안이다. 금융보안원은 작년 금융데이터거래소(FinDX)를 구축해 데이터 거래·유통 확산에 집중하고 있다. 올해는 금융데이터거래소와 데이터전문기관을 연계한 데이터 결합지원 서비스도 오픈한 바 있다. 그러나 금융 데이터의 ‘활용’보다는 ‘보호’에 초점을 맞춰왔던 만큼 극적인 변화를 기대하기는 어렵다는 분석도 제기된다. 신용정보법 개정으로 가명정보 활용이 가능해졌지만 여전히 많은 기업들이 활용을 주저하고 있다. 자칫하다가는 오·남용 및 유·노출로 안 하느니만 못한 상황이 초래할 수 있기 때문이다.

◆금융망도 국가 기간망… “APT, 가장 경계해야할 위협”

보안전문가들이 가장 치명적으로 꼽고 있는 보안 위협은 국가기간망을 대상으로 한 ‘지능형지속위협(APT)’공격이다. 피해가 실제화됐을 때 가져올 국가적 혼란과 피해 규모를 쉽게 예상할 수 없기 때문이다.

올해 5월, 미국은 랜섬웨어 공격으로 콜로니얼의 송유관을 멈춰버린 해커에서 돈을 지불하고 사태를 해결하는 굴욕을 당했다. 콜로니얼 파이프라인은 미국 동부에 공급되는 석유의 약 45%가량을 책임지는 미국 최대 송유관 운영사다. 콜로니얼을 공격한 것으로 알려진 해킹조직은 ‘다크사이드’로, 콜로니얼의 전산시스템에 랜섬웨어를 침투시킨 뒤 ‘몸값’으로 비트코인을 요구했다.
뉴스화편 캡쳐 < MBC>
뉴스화편 캡쳐 < MBC>

미국 국토안보부(DHS)가 주요 송유관 시설 소유·운영자는 사이버보안에 문제가 발생할 경우 사이버안보 기간시설안보국(CISA)에 보고하도록 지시했지만 민영화된 기간 산업체계에서 고품질의 보안 대응이 가능할지는 미지수다. 특히 이같은 APT 공격은 단순한 사이버 공격이 아니라 국가의 배후가 의심되는 ‘국가간 대리전’의 성격을 띠고 있다는 분석이 적지않다. 금융망도 국가 기간망이란 관점에서보면 이같은 APT 공격에 대한 경각심이 요구된다. 실제로 미국 연방수사국(FBI)는 이번 송유관 마비 사태를 일으린 랜섬웨어 공격의 배후로 러시아를 지목했다.

* 본 기사는 디지털데일리가 7월 발간한 <2021년 디지털금융 혁신과 도전>에 수록된 내용을 요약한 것으로, 편집 사정상 책의 내용과 일치하지 않을 수 있습니다.
박기록
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널